Sophos Endpoint Security and Control Guida in linea

Transcript

1 Sophos Endpoint Security and Control Guida in linea Versione prodotto: 10.0 Data documento: giugno 2012

2 Sommario 1 Informazioni su Sophos Endpoint Security and Control Home page Gruppi Sophos Sophos Anti-Virus Sophos Application Control Sophos Device Control Sophos Data Control Sophos Web Control Sophos Client Firewall Sophos AutoUpdate Sophos Tamper Protection Risoluzione dei problemi Glossario Supporto tecnico Note legali

3 Guida in linea 1 Informazioni su Sophos Endpoint Security and Control Sophos Endpoint Security and Control, versione 10.0 è una suite integrata di software per la sicurezza. Sophos Anti-Virus rileva e rimuove virus, trojan, worm e spyware, oltre che adware e altre applicazioni potenzialmente indesiderate. La tecnologia HIPS (Host Intrusion Prevention System) può anche proteggere il computer da file sospetto e rootkit. Sophos Behavior Monitoring utilizza la tecnologia HIPS per proteggere i computer con sistema operativo Windows 2000 e successivo dalle minacce non identificate o del giorno zero, oltre che da comportamento sospetto. Sophos Live Protection migliora il rilevamento di nuovo malware, senza il rischio di rilevamenti indesiderati. Questo avviene mediante ricerca istantanea in base alle più aggiornate versioni di malware conosciute. Quando viene identificato un nuovo malware, Sophos è in grado di inviare aggiornamenti entro pochi secondi. Sophos Web Protection fornisce una protezione avanzata contro le minacce del web impedendo l'accesso a percorsi noti per essere host di malware. Blocca l'accesso dei computer a tali siti, mediante la ricerca dei loro dati in tempo reale all'interno del database online Sophos. Sophos Application Control (controllo applicazioni) blocca applicazioni non autorizzate quali Voice over IP, messaggistica istantanea, condivisione file e software di gioco. Sophos Device Control (controllo dispositivi) blocca dispositivi di memorizzazione esterni non autorizzati e tecnologie di connessione wireless. Sophos Data Control (controllo dati) evita la perdita accidentale di dati che possono portare all'identificazione personale da computer gestiti. Sophos Web Control consente di fornire protezione e controllo, oltre a rilevare i computer situati al di fuori della rete aziendale o in roaming. Sophos Client Firewall impedisce a worm, trojan e spyware il furto e la distribuzione di informazioni sensibili, oltre che prevenire gli attacchi di pirati informatici. Sophos AutoUpdate (autoaggiornamento) offre un aggiornamento a prova di errore e il controllo della larghezza di banda quando gli aggiornamenti vengono eseguiti da connessioni di rete a bassa velocità. Sophos Tamper Protection (blocco rimozione) impedisce a malware noto e utenti non autorizzati (utenti con conoscenze tecniche limitate) la disinstallazione del software di sicurezza Sophos o la disabilitazione tramite l'interfaccia Sophos Endpoint Security and Control. 3

4 Sophos Endpoint Security and Control 2 Home page Quando si apre la finestra di Sophos Endpoint Security and Control, nel riquadro a destra viene visualizzata la pagina Home. Consente la configurazione e l'utilizzo del software. Durante l'utilizzo di Sophos Endpoint Security and Control, il contenuto del riquadro a destra cambierà. Per tornare alla Home page, cliccare sul pulsante Home nella barra degli strumenti. 4

5 Guida in linea 3 Gruppi Sophos 3.1 Gruppi Sophos Sophos Endpoint Security and Control limita l'accesso a determinate parti della rete solo ai membri di specifici gruppi Sophos. Quando viene installato Sophos Endpoint Security and Control, tutti gli utenti del computer vengono inizialmente assegnati a un gruppo Sophos a seconda del gruppo Windows di appartenenza. Gruppo Windows Administrators Power Users Utenti Gruppo Sophos SophosAdministrator SophosPowerUser SophosUser Gli utenti non assegnati ad alcun gruppo Sophos, inclusi gli utenti ospiti, possono svolgere solo le seguenti operazioni: Scansione in accesso Scansione dal menu del tasto destro del mouse SophosUsers I SophosUsers possono svolgere tutte le operazioni riportate qui sopra, oltre a quelle di seguito elencate: Apertura della finestra di Sophos Endpoint Security and Control Impostazione ed esecuzione delle scansioni su richiesta Configurazione della scansione dal menu del tasto destro del mouse Gestione, con diritti limitati, degli oggetti in quarantena Creazione e configurazione delle regole del firewall SophosPowerUsers I SophosPowerUsers hanno gli stessi diritti dei SophosUsers, oltre ai seguenti diritti aggiuntivi: Maggiori privilegi nella gestione della quarantena Accesso al gestore autorizzazioni SophosAdministrators I SophosAdministrators possono utilizzare e configurare qualsiasi parte di Sophos Endpoint Security and Control. 5

6 Sophos Endpoint Security and Control Nota: Se il blocco rimozione è abilitato, un SophosAdministrator deve conoscere la password del blocco rimozione per effettuare le seguenti operazioni: Configurazione della scansione in accesso. Rilevamento di comportamento sospetto. Disabilitare il blocco rimozione Per ulteriori informazioni, consultare la sezione Il blocco rimozione in questo computer a pagina Aggiunta di utenti al gruppo Sophos Gli amministratori di dominio o i membri del gruppo Windows Administrators in tale computer possono cambiare il gruppo Sophos a cui appartiene un determinato utente. Solitamente questa operazione viene svolta per modificare i diritti di accesso a Sophos Endpoint Security and Control. Per aggiungere utenti al gruppo Sophos: 1. Se si utilizza Windows, aprire Gestione computer. 2. Nella struttura ad albero della console, cliccare su Users. 3. Cliccare col tasto destro del mouse sull'account utente e poi su Proprietà. 4. Nella scheda Membro di, cliccare su Aggiungi. 5. In Immettere i nomi degli oggetti da selezionare, digitare il nome di un gruppo Sophos: SophosAdministrator SophosPowerUser SophosUser 6. Se si desidera convalidare il nome del gruppo Sophos, cliccare su Controlla nomi. La prossima volta che l'utente accederà al computer, i diritti di accesso a Sophos Endpoint Security and Control saranno cambiati. Note Per aprire Gestione computer, cliccare su Start e successivamente su Pannello di controllo. Cliccare due volte su Strumenti di amministrazione e due volte su Gestione computer. Per rimuovere un utente da un gruppo utenti Sophos, dalla scheda Membro di, selezionare il gruppo da Membro di e cliccare su Rimuovi. 3.3 Configurazione dei diritti utente per il Gestore quarantena Se si appartiene al gruppo SophosAdministrator, è possibile configurare i diritti utente per il Gestore quarantena. 1. Cliccare su Home > Antivirus e HIPS > Configura antivirus e HIPS > Configura > Diritti utente per Gestore quarantena. 6

7 Guida in linea 2. Selezionare il tipo di utente che svolgerà un certo tipo di azione. Nota: eccezion fatta per l'opzione Autorizza, i diritti qui impostati vengono applicati solo al Gestore quarantena. Opzione Disinfetta settori Disinfetta file Cancella file Sposta file Autorizza Descrizione Gli utenti possono disinfettare il boot sector del floppy disk. Gli utenti possono disinfettare documenti e programmi. Gli utenti possono cancellare file infetti. Gli utenti possono spostare i file infetti in un'altra cartella. Gli utenti possono autorizzare oggetti sospetti, adware e PUA, al fine di consentirne l'esecuzione nel computer. Questa opzione è applicabile sia al Gestore autorizzazioni che al Gestore quarantena. 7

8 Sophos Endpoint Security and Control 4 Sophos Anti-Virus 4.1 Scansione in accesso e su richiesta Scansione in accesso La scansione in accesso rappresenta il principale metodo di protezione contro virus e altre minacce. Ogni qual volta si copia, sposta o accede a un file, Sophos Anti-Virus ne esegue la scansione e ne consente l'accesso solo se tale file non costituisce una minaccia per il computer o se autorizzato per l'utilizzo. Gli Amministratori Sophos possono in aggiunta impostare l'esecuzione della scansione dei file quando essi vengono salvati, creati o rinominati. Per ulteriori informazioni, consultare la sezione Configurazione della scansione in accesso a pagina 8. Scansione su richiesta La scansione su richiesta fornisce ulteriore protezione. Come intuibile dal nome, è l'utente che avvia la scansione su richiesta. È possibile eseguire una scansione di tutto, da un file singolo all'intero computer. Per ulteriori informazioni, consultare la sezione Tipi di scansione su richiesta a pagina Scansione in accesso Scansione in accesso Si consiglia l'utilizzo delle impostazioni predefinite per la scansione in accesso, per ottenere il giusto equilibrio fra la protezione dei computer dalle minacce e la resa del sistema. Nota: La scansione in accesso potrebbe non rilevare i virus, se sono installati determinati software di cifratura. Modificare i processi di avvio per assicurarsi che i file vengano decifrati quando inizia la scansione in accesso. Per ulteriori informazioni su come utilizzare criteri antivirus e HIPS con software di cifratura, consultare l'articolo della knowledge base Sophos ( in inglese) Configurazione della scansione in accesso Importante: se viene utilizzata una console di gestione per amministrare Sophos Endpoint Security and Control su questo computer, essa potrebbe ignorare le modifiche qui apportate. Per impostazione predefinita, Sophos Anti-Virus rileva e disinfetta le seguenti minacce durante la scansione in accesso: virus trojan 8

9 Guida in linea worm Spyware Per configurare la scansione in accesso: 1. Cliccare su Inizio > Anti-virus e HIPS (Sistema di prevenzione delle intrusioni su host) > Configurazione di antivirus e HIPS > Configurazione > scansione in accesso scansione. 2. Per apportare modifiche alla tempistica in cui viene eseguita la scansione in accesso, in Verifica file in, impostare le opzioni secondo quanto descritto qui di seguito. Opzione Lettura Rinomina Scrittura Descrizione Scansione dei file quando copiati, spostati o aperti. Scansione dei file quando rinominati. Scansione dei file quando salvati o creati. 3. In Esegui scansione alla ricerca di, impostare le opzioni come descritto di seguito. Opzione Adware e PUA Descrizione L'adware prevede la presentazione all'utente di messaggi pubblicitari, quali messaggi popup, che possono incidere sulla produttività degli utenti e sull'efficienza del sistema. I PUA (Potentially Unwanted Applications) non sono malevoli, ma inadatti a reti aziendali e ambienti lavorativi. File sospetti I file sospetti presentano una serie di caratteristiche comunemente, ma non esclusivamente, riscontrate in virus. 9

10 Sophos Endpoint Security and Control 4. In Altre opzioni di scansione, impostare le opzioni come descritto di seguito. Opzione Accesso alle unità con settore di avvio infetti Descrizione Attivare questa opzione per consentire l'accesso a uno mezzo o dispositivo rimovibile infetto, quale CD di avvio, floppy disk o unità flash USB. Utilizzate questa opzione soltanto su consiglio del supporto tecnico di Sophos. Consultare anche l'argomento Accesso alle unità con settore di avvio infetti a pagina 95 nella sezione Risoluzione dei problemi. Scansione di tutti i file Scansione dei file di archivio Si consiglia di eseguire la scansione di tutti i file solo durante la scansione settimanale; la scansione di tutti i file limita le prestazioni del computer. Abilitare questa opzione per eseguire la scansione del contenuto dei file di archivio o compressi prima che venga scaricato o inviato per dal computer. Si consiglia di lasciare questa opzione disabilitata, dal momento che rallenta notevolmente la scansione. Si sarà comunque protetti da eventuali minacce presenti nei file di archivio o compressi, dal momento che tutti i componenti dei file di archivio o compressi che potrebbero contenere malware verranno bloccati dalla scansione in accesso: Quando si apre un file estratto dal file di archivio, tale file viene sottoposto a scansione. I file compressi tramite utilità di compressione dinamiche, quali PKLite, LZEXE e Diet, vengono sottoposti a scansione. Scansione della memoria di sistema Abilitare questa opzione per seguire automaticamente una scansione di background a cadenza oraria per rilevare malware nascosti nella memoria di sistema del computer (la memoria utilizzata dal sistema operativo) Disabilitazione temporanea della scansione in accesso Se si appartiene al gruppo SophosAdministrator, può presentarsi la necessità di disabilitare temporaneamente la scansione in accesso per motivi di manutenzione o per la risoluzione di alcuni problemi e successivamente di riabilitarla. È possibile disabilitare la protezione in accesso, ma continuare ad eseguire scansioni su richiesta del computer. Sophos Endpoint Security and Control conserva le impostazioni scelte in questa pagina, anche dopo il riavvio del computer. Se si disabilita la scansione in accesso, il computer risulta non protetto finché la scansione in accesso non venga riabilitata. 1. Cliccare su Inizio > Anti-virus e HIPS (Sistema di prevenzione delle intrusioni su host) > Configurazione di antivirus e HIPS > Configurazione > scansione in accesso scansione. 2. Deselezionare la casella di spunta Consenti scansione in accesso per questo computer. 10

11 Guida in linea Configurazione della disinfezione in accesso Importante: se viene utilizzata una console di gestione per amministrare Sophos Endpoint Security and Control su questo computer, essa potrebbe ignorare le modifiche qui apportate. Per configurare la disinfezione in accesso: 1. Cliccare su Inizio > Anti-virus e HIPS (Sistema di prevenzione delle intrusioni su host) > Configurazione di antivirus e HIPS > Configurazione > scansione in accesso scansione. 2. Cliccare sulla scheda Disinfezione. 3. Per disinfettare automaticamente gli oggetti infetti, in Virus/spyware, selezionare la casella di spunta Disinfetta automaticamente gli oggetti contenenti virus o spyware. Nota: Se si seleziona tale opzione, la disinfezione di virus/spyware darà inizio a una scansione completa del sistema, che cercherà di rimuovere dal computer tutti i virus. Ciò potrebbe richiedere molto tempo. 4. In Viruses/spyware, selezionare l'azione che Sophos Anti-Virus dovrà intraprendere contro gli oggetti infetti, nel caso la disinfezione automatica sia stata disabilitata o non riesca: Opzione Nega solo l'accesso Descrizione Sophos Anti-Virus chiede quale azione intraprendere prima di continuare. Si tratta di un'impostazione predefinita. Cancella Nega l'accesso e sposta in Utilizzate queste impostazioni soltanto su consiglio del supporto tecnico di Sophos. Utilizzare altrimenti il Quarantine Manager per disinfettare il computer dai virus e spyware rilevati da Sophos Anti-Virus. Consultare la sezione Gestione di virus e spyware in quarantena a pagina In File sospetti, selezionare l'azione che Sophos Anti-Virus intraprenderà al rilevare file contenenti codici utilizzati comunemente da malware: Opzione Nega l'accesso Descrizione Sophos Anti-Virus chiede quale azione intraprendere prima di continuare. Si tratta di un'impostazione predefinita. Cancella Nega l'accesso e sposta in Utilizzate queste impostazioni soltanto su consiglio del supporto tecnico di Sophos. Utilizzare invece il Quarantine Manager per disinfettare il computer dai file sospetti rilevati da Sophos Anti-Virus. Consultare la sezione Gestione di file sospetti in quarantena a pagina 38 11

12 Sophos Endpoint Security and Control Ripristino dei file checksum scansionati L'elenco dei file checksum scansionati viene ripristinato quando viene eseguito un aggiornamento di Sophos Anti-Virus, oppure quando viene riavviato il computer. L'elenco viene ricostruito con i nuovi dati mano a mano che i file vengono scansionati da Sophos Anti-Virus. È possibile ripristinare l'elenco di file checksum scansionati da Sophos Endpoint Security and Control, se non si desidera riavviare il computer. Per ripristinare i file checksum scansionati: 1. Cliccare su Inizio > Anti-virus e HIPS (Sistema di prevenzione delle intrusioni su host) > Configurazione di antivirus e HIPS > Configurazione > scansione in accesso scansione. 2. Nella scheda Scansione, cliccare su Pulisci cache Specificazione delle estensioni dei file per la scansione in accesso Importante: se viene utilizzata una console di gestione per amministrare Sophos Endpoint Security and Control su questo computer, essa potrebbe ignorare le modifiche qui apportate. È possibile specificare quali estensioni dei file debbano essere verificate durante la scansione in accesso. 1. Cliccare su Inizio > Anti-virus e HIPS (Sistema di prevenzione delle intrusioni su host) > Configurazione di antivirus e HIPS > Configurazione > scansione in accesso scansione. 2. Cliccare sulla scheda Estensioni ed impostare le opzioni secondo quanto descritto di seguito. Scansione di tutti i file Cliccare su questa opzione per abilitare la scansione di tutti i file, indipendentemente dall'estensione del file. Consenti scelta delle estensioni da esaminare Cliccare su questa opzione per restringere la scansione ai soli file con un'estensione particolare, specificata nella lista delle estensioni. Attenzione: l'elenco delle estensioni include i tipi di file che Sophos consiglia di esaminare. Fare attenzione se si modifica l'elenco secondo quanto descritto di seguito. Per aggiungere un'estensione alla lista, cliccare su Aggiungi. È possibile utilizzare il carattere jolly "?" al posto di un singolo carattere. Per rimuovere un'estensione dalla lista, selezionare l'estensione e cliccare su Rimuovi. Per modificare un'estensione nella lista, selezionare l'estensione e cliccare su Modifica. Selezionando Consenti scelta delle estensioni da esaminare, l'opzione Scansione dei file senza estensione viene selezionata per impostazione predefinita. Per disabilitare la scansione dei file senza estensione, deselezionare Scansione dei file senza estensione. 12

13 Guida in linea Aggiunta, modifica o cancellazione delle esclusioni per la scansione in accesso Importante: se viene utilizzata una console di gestione per amministrare Sophos Endpoint Security and Control su questo computer, essa potrebbe ignorare le modifiche qui apportate. Per modificare l'elenco di file, cartelle e unità esclusi dalla scansione in accesso: 1. Cliccare su Home > Antivirus e HIPS > Configura antivirus e HIPS > Configura > Scansione in accesso. 2. Cliccare sulla scheda Esclusioni, quindi scegliere na delle seguenti opzioni. Per specificare file, cartelle o unità che si desidera escludere da una scansione in accesso, cliccare su Aggiungi. Per cancellare un'esclusione, cliccare su Rimuovi. Per modificare un'esclusione, cliccare su Modifica. 3. Per aggiungere o modificare un oggetto escluso, nella finestra di dialogo Escludi oggetto, selezionare Tipo di oggetto. 4. Specificare il Nome dell'oggetto utilizzando il pulsante Sfoglia o digitandolo nella casella di testo. Nota: se si lavora su una piattaforma a 64 bit, nella finestra di dialogo Escludi oggetto il pulsante Sfoglia non è visibile. Per ulteriori informazioni su come specificare i nomi degli oggetti, consultare la sezione Come specificare nomi file e percorsi degli oggetti esclusi dalla scansione a pagina Come specificare nomi file e percorsi degli oggetti esclusi dalla scansione Convenzioni di nomenclatura standard Sophos Anti-Virus convalida i nomi di percorsi e file degli oggetti che si desidera escludere dalla scansione, in base alla convenzioni di denominazione di Windows. Per esempio, il nome di una cartella può contenere spazi, ma non solo spazi. Esclusione di un file specifico Specificare sia il nome di percorso che file per poter escludere un determinato file. Il percorso può includere una lettera unità o il nome di una condivisione di rete. C:\Documents\CV.doc \\Server\Users\Documents\CV.doc Nota: Per assicurarsi che le esclusioni vengano applicate correttamente, aggiungere nome file e cartella sia nella versione estesa che conforme a 8.3: C:\Programmi\Sophos\Sophos Anti-Virus C:\Progra~1\Sophos\Sophos~1 13

14 Sophos Endpoint Security and Control Per ulteriori informazioni, consultare la sezione Esclusione di tutti i file con lo stesso nome Indicare il nome di un file senza percorso per escludere tutti i file aventi lo stesso nome ovunque si trovino nel file system: spacer.gif Esclusione di tutti gli oggetti nell'unità o condivisione di rete Per escludere tutti gli oggetti contenuti in un'unità o condivisione di rete, indicare la lettera dell'unità o il nome della condivisione: C: \\Server Esclusione di una determinata cartella Indicare il percorso di una cartella che comprenda una lettera unità o il nome di una condivisione di rete, per escludere tutti gli oggetti presenti in quella cartella e nelle relative sottocartelle: D:\Tools\logs\ Esclusione di tutte le cartelle con lo stesso nome Indicare il percorso di una cartella senza alcuna lettere unità o nome di condivisione di rete, per escludere qualsiasi oggetto presente in quella cartella e nelle relative sottocartelle in tutte le unità o condivisioni di rete. Per esempio, \Tools\logs esclude le seguenti cartelle: C:\Tools\logs\ \\Server\Tools\logs\ Nota: È necessario indicare tutto il percorso fino alla lettera unità o al nome della condivisione di rete. Nell'esempio riportato di sopra, indicare \logs non esclude alcun file. Caratteri jolly? e * Utilizzare il carattere jolly? nel nome file o estensione al posto di un singolo carattere. Alla fine di un nome file o estensione, il carattere jolly? sostituisce un singolo carattere o nessun carattere: per es. file??.txt può indicare i file file.txt, file1.txt e file12.txt, ma non file123.txt. Utilizzare il carattere jolly * in un nome file o estensione, nel formato [nome file].* o *.[estensione]: Corretto file.* *.txt Errato file*.txt 14

15 Guida in linea file.txt* file.*txt Estensioni file multiple Nei nomi file con estensioni multiple, l'ultima estensione viene considerata come estensione e le altre come parte del nome: MySample.txt.doc = nome file MySample.txt + estensione.doc. 4.3 Scansione su richiesta Tipi di scansione su richiesta Scansione dal menu del tasto destro del mouse Esegue in qualsiasi momento la scansione di file, cartelle o unità in Windows Explorer. Esecuzione della scansione dal menu del tasto destro del mouse a pagina 21 Scansione personalizzata Esegue la scansione di set di file o cartelle specifici. È possibile eseguire una scansione personalizzata sia manualmente, sia pianificandone un'esecuzione autonoma. Esecuzione di una scansione personalizzata a pagina 25 Pianificazione di una scansione personalizzata a pagina 25 Scansione completa del computer Esegue in qualsiasi momento la scansione dell'intero computer, incluso il boot sector e la memoria di sistema. Esecuzione della scansione completa del computer a pagina Specificazione delle estensioni dei file per la scansione su richiesta Importante: se viene utilizzata una console di gestione per amministrare Sophos Endpoint Security and Control su questo computer, essa potrebbe ignorare le modifiche qui apportate. È possibile specificare quali estensioni dei file debbano essere verificate durante la scansione su richiesta. 1. Dal menu Configura, cliccare su Estensioni ed esclusioni su richiesta. 15

16 Sophos Endpoint Security and Control 2. Cliccare sulla scheda Estensioni ed impostare le opzioni secondo quanto descritto di seguito. Scansione di tutti i file Cliccare su questa opzione per abilitare la scansione di tutti i file, indipendentemente dall'estensione del file. Consenti scelta delle estensioni da esaminare Cliccare su questa opzione per restringere la scansione ai soli file con un'estensione particolare, specificata nella lista delle estensioni. Attenzione: l'elenco delle estensioni include i tipi di file che Sophos consiglia di esaminare. Fare attenzione se si modifica l'elenco secondo quanto descritto di seguito. Per aggiungere un'estensione alla lista, cliccare su Aggiungi. È possibile utilizzare il carattere jolly "?" al posto di un singolo carattere. Per rimuovere un'estensione dalla lista, selezionare l'estensione e cliccare su Rimuovi. Per modificare un'estensione nella lista, selezionare l'estensione e cliccare su Modifica. Selezionando Consenti scelta delle estensioni da esaminare, l'opzione Scansione dei file senza estensione viene selezionata per impostazione predefinita. Per disabilitare la scansione dei file senza estensione, deselezionare Scansione dei file senza estensione Aggiunta, modifica o cancellazione delle esclusioni per la scansione su richiesta Importante: se viene utilizzata una console di gestione per amministrare Sophos Endpoint Security and Control su questo computer, essa potrebbe ignorare le modifiche qui apportate. La procedura descritta qui sotto si riferisce a tutte le scansioni su richiesta. Per informazioni su come escludere determinati oggetti da una scansione personalizzata, consultare la sezione Creazione di una scansione personalizzata a pagina 21. Per modificare l'elenco di file, cartelle e unità esclusi dalla scansione su richiesta: 1. Cliccare su Home > Antivirus e HIPS > Configura antivirus e HIPS > Configura > Estensioni ed esclusioni su richiesta. 2. Cliccare sulla scheda Esclusioni, quindi scegliere na delle seguenti opzioni. Per specificare file, cartelle o unità che si desidera escludere da una scansione su richiesta, cliccare su Aggiungi. Per cancellare un'esclusione, cliccare su Rimuovi. Per modificare un'esclusione, cliccare su Modifica. 3. Per aggiungere o modificare un oggetto escluso, nella finestra di dialogo Escludi oggetto, selezionare il Tipo di oggetto. 16

17 Guida in linea 4. Specificare il Nome dell'oggetto utilizzando il pulsante Sfoglia o digitandolo nella casella di testo. Nota: se si lavora su una piattaforma a 64 bit, nella finestra di dialogo Escludi oggetto il pulsante Sfoglia non è visibile. Per ulteriori informazioni su come specificare i nomi degli oggetti, consultare la sezione Come specificare nomi file e percorsi degli oggetti esclusi dalla scansione a pagina Come specificare nomi file e percorsi degli oggetti esclusi dalla scansione Convenzioni di nomenclatura standard Sophos Anti-Virus convalida i nomi di percorsi e file degli oggetti che si desidera escludere dalla scansione, in base alla convenzioni di denominazione di Windows. Per esempio, il nome di una cartella può contenere spazi, ma non solo spazi. Esclusione di un file specifico Specificare sia il nome di percorso che file per poter escludere un determinato file. Il percorso può includere una lettera unità o il nome di una condivisione di rete. C:\Documents\CV.doc \\Server\Users\Documents\CV.doc Nota: Per assicurarsi che le esclusioni vengano applicate correttamente, aggiungere nome file e cartella sia nella versione estesa che conforme a 8.3: C:\Programmi\Sophos\Sophos Anti-Virus C:\Progra~1\Sophos\Sophos~1 Per ulteriori informazioni, consultare la sezione Esclusione di tutti i file con lo stesso nome Indicare il nome di un file senza percorso per escludere tutti i file aventi lo stesso nome ovunque si trovino nel file system: spacer.gif Esclusione di tutti gli oggetti nell'unità o condivisione di rete Per escludere tutti gli oggetti contenuti in un'unità o condivisione di rete, indicare la lettera dell'unità o il nome della condivisione: C: \\Server Esclusione di una determinata cartella Indicare il percorso di una cartella che comprenda una lettera unità o il nome di una condivisione di rete, per escludere tutti gli oggetti presenti in quella cartella e nelle relative sottocartelle: 17

18 Sophos Endpoint Security and Control D:\Tools\logs\ Esclusione di tutte le cartelle con lo stesso nome Indicare il percorso di una cartella senza alcuna lettere unità o nome di condivisione di rete, per escludere qualsiasi oggetto presente in quella cartella e nelle relative sottocartelle in tutte le unità o condivisioni di rete. Per esempio, \Tools\logs esclude le seguenti cartelle: C:\Tools\logs\ \\Server\Tools\logs\ Nota: È necessario indicare tutto il percorso fino alla lettera unità o al nome della condivisione di rete. Nell'esempio riportato di sopra, indicare \logs non esclude alcun file. Caratteri jolly? e * Utilizzare il carattere jolly? nel nome file o estensione al posto di un singolo carattere. Alla fine di un nome file o estensione, il carattere jolly? sostituisce un singolo carattere o nessun carattere: per es. file??.txt può indicare i file file.txt, file1.txt e file12.txt, ma non file123.txt. Utilizzare il carattere jolly * in un nome file o estensione, nel formato [nome file].* o *.[estensione]: Corretto file.* *.txt Errato file*.txt file.txt* file.*txt Estensioni file multiple Nei nomi file con estensioni multiple, l'ultima estensione viene considerata come estensione e le altre come parte del nome: MySample.txt.doc = nome file MySample.txt + estensione.doc Scansione dal menu del tasto destro del mouse Configurazione della scansione dal menu del tasto destro del mouse Importante: se viene utilizzata una console di gestione per amministrare Sophos Endpoint Security and Control su questo computer, essa non potrà ignorare le modifiche qui apportate. Per impostazione predefinita, Sophos Anti-Virus rileva e disinfetta le seguenti minacce durante la scansione dal menu del tasto destro del mouse: virus trojan 18

19 Guida in linea worm Spyware adware e altre applicazioni potenzialmente indesiderate (PUA) Per configurare la scansione da menu del tasto destro del mouse: 1. Cliccare su Home > Antivirus e HIPS > Configura antivirus e HIPS > Configura > Scansione dal menu del tasto destro del mouse. 2. In Esegui scansione alla ricerca di, impostare le opzioni come descritto di seguito. Opzione Adware e PUA Descrizione L'adware prevede la presentazione all'utente di messaggi pubblicitari, quali messaggi popup, che possono incidere sulla produttività degli utenti e sull'efficienza del sistema. I PUA (Potentially Unwanted Applications) non sono malevoli, ma inadatti a reti aziendali e ambienti lavorativi. File sospetti I file sospetti presentano una serie di caratteristiche comunemente, ma non esclusivamente, riscontrate in virus. 3. In Altre opzioni di scansione, impostare le opzioni come descritto di seguito. Opzione Scansione di tutti i file Scansione dei file di archivio Descrizione Si consiglia di eseguire la scansione di tutti i file solo durante la scansione settimanale; la scansione di tutti i file limita le prestazioni del computer. Abilitare questa opzione per eseguire la scansione del contenuto dei file di archivio o compressi prima che venga scaricato o inviato per dal computer. Si consiglia di lasciare questa opzione disabilitata, dal momento che rallenta notevolmente la scansione. Si sarà comunque protetti da eventuali minacce presenti nei file di archivio o compressi, dal momento che tutti i componenti dei file di archivio o compressi che potrebbero contenere malware verranno bloccati dalla scansione in accesso: Quando si apre un file estratto dal file di archivio, tale file viene sottoposto a scansione. I file compressi tramite utilità di compressione dinamiche, quali PKLite, LZEXE e Diet, vengono sottoposti a scansione Configurazione della disinfezione dal menu del tasto destro del mouse Importante: se viene utilizzata una console di gestione per amministrare Sophos Endpoint Security and Control su questo computer, essa potrebbe ignorare le modifiche qui apportate. Per configurare la disinfezione dal menu del tasto destro del mouse: 19

20 Sophos Endpoint Security and Control 1. Cliccare su Home > Antivirus e HIPS > Configura antivirus e HIPS > Configura > Scansione dal menu del tasto destro del mouse. 2. Cliccare sulla scheda Disinfezione. 3. Per disinfettare automaticamente gli oggetti infetti, in Virus/spyware, selezionare la casella di spunta Disinfetta automaticamente gli oggetti contenenti virus o spyware. 4. Selezionare l'azione che Sophos Anti-Virus dovrà intraprendere contro gli oggetti infetti, nel caso la disinfezione automatica non sia stata abilitata o non riesca: Opzione Solo log Descrizione Sophos Anti-Virus si limita a registrare gli oggetti infetti nel log della scansione. Consultare la sezione Visualizzazione del log della scansione a pagina 47. Si tratta di un'impostazione predefinita. Cancella Sposta in Utilizzate queste impostazioni soltanto su consiglio del supporto tecnico di Sophos. Utilizzare altrimenti il Quarantine Manager per disinfettare il computer dai virus e spyware rilevati da Sophos Anti-Virus. Consultare la sezione Gestione di virus e spyware in quarantena a pagina In File sospetti, selezionare l'azione che Sophos Anti-Virus intraprenderà al rilevare file contenenti codici utilizzati comunemente da malware: Opzione Solo log Descrizione Sophos Anti-Virus si limita a registrare gli oggetti infetti nel log della scansione. Si tratta di un'impostazione predefinita. Cancella Sposta in Utilizzate queste impostazioni soltanto su consiglio del supporto tecnico di Sophos. Utilizzare altrimenti il Quarantine Manager per disinfettare il computer dai virus e spyware rilevati da Sophos Anti-Virus. Consultare la sezione Gestione di file sospetti in quarantena a pagina Per rimuovere i componenti conosciuti di adware e Potentially Unwanted Applications (PUA) dai computer di tutti gli utenti, in Adware e PUA, selezionare la casella di spunta Disinfetta automaticamente adware e PUA. La rimozione non annulla le modifiche già apportate da adware o PUA. Per informazioni su come visionare nel sito web di Sophos gli effetti collaterali di adware o PUA, consultare la sezione Informazioni sulla disinfezione a pagina 42. Per informazioni su come disinfettare il computer da adware e PUA utilizzando il Quarantine Manager, consultare la sezione Gestione di adware e PUA in quarantena a pagina

21 Guida in linea Esecuzione della scansione dal menu del tasto destro del mouse È possibile esaminare file, cartelle e unità da Windows Explorer o dal computer eseguendo la scansione dal menu del tasto destro del mouse. 1. Utilizzando Windows Explorer o nel computer, selezionare il file, la cartella o l'unità disco che si desidera scansionare. È possibile selezionare file e cartelle multipli. 2. Cliccare col tasto destro del mouse sull'oggetto selezionato e successivamente cliccare su Scansione con Sophos Anti-Virus. Se vengono rilevate minacce o applicazioni controllate, cliccare su Dettagli e consultare la sezione Gestione degli oggetti in quarantena della Guida in linea Scansioni personalizzate Creazione di una scansione personalizzata 1. Nella Home page, sotto Antivirus e HIPS, cliccare su Scansioni. 2. Cliccare su Imposta una nuova scansione. 3. Nel campo di testo Nome scansione, digitare un nome per la scansione. 4. Nel riquadro Oggetti da esaminare, selezionare le unità e le cartelle che si desidera esaminare. A questo scopo, spuntare la casella alla sinistra di ogni unità o cartella. Per informazioni sulle icone visualizzate accanto alle caselle, consultare Simboli degli oggetti da esaminare a pagina 21. Nota: le unità o le cartelle non disponibili (perché non sono in linea o sono state cancellate) vengono visualizzate con un carattere barrato. Vengono rimosse dal riquadro Oggetti da esaminare se vengono deselezionate o se si apporta una modifica alla selezione della o delle unità o cartelle madri. 5. Per configurare ulteriormente la scansione, cliccare su Configura scansione (per ulteriori informazioni, consultare la sezione Configurazione di una scansione personalizzata a pagina 22). 6. Per pianificare la scansione, cliccare su Pianifica scansione. (per ulteriori informazioni, consultare la sezione Pianificazione di una scansione personalizzata a pagina 25). 7. Cliccare su Salva per salvare la scansione oppure Salva e avvia per salvare e avviare la scansione Simboli degli oggetti da esaminare Nel riquadro Oggetti da esaminare, nella casella accanto a ciascun oggetto (unità o cartella) vengono visualizzate diverse icone, a seconda degli oggetti da esaminare. Queste icone sono raffigurate e descritte qui sotto. Icona Descrizione L'oggetto e relativi sotto-oggetti non sono selezionati per la scansione. 21

22 Sophos Endpoint Security and Control Icona Descrizione L'oggetto e relativi sotto-oggetti sono selezionati per la scansione. L'oggetto è parzialmente selezionato: non l'oggetto in sé ma alcuni suoi sotto-oggetti sono selezionati per la scansione. L'oggetto e relativi sotto-oggetti sono esclusi da questa specifica scansione. L'oggetto è parzialmente escluso: l'oggetto è selezionato ma alcuni suoi sotto-oggetti sono esclusi da questa particolare scansione. L'oggetto e relativi sotto-oggetti sono esclusi da tutte le scansioni su richiesta, perché è stata impostata un'esclusione su richiesta. Per informazioni, consultare la sezione Aggiunta, modifica o cancellazione delle esclusioni per la scansione in accesso a pagina Configurazione di una scansione personalizzata Importante: se viene utilizzata una console di gestione per amministrare Sophos Endpoint Security and Control su questo computer, essa potrebbe ignorare le modifiche qui apportate. Per impostazione predefinita, Sophos Anti-Virus rileva e disinfetta le seguenti minacce durante la scansione personalizzata: virus trojan worm Spyware adware e altre applicazioni potenzialmente indesiderate (PUA) Rootkit Per configurare una scansione personalizzata: 1. Nella Home page, sotto Antivirus e HIPS, cliccare su Scansioni. 2. Nell'elenco Scansioni disponibili, selezionare la scansione che si desidera modificare e poi cliccare su Modifica. 3. Cliccare su Configura scansione. 22

23 Guida in linea 4. In Esegui scansione alla ricerca di, impostare le opzioni come descritto di seguito. Opzione Adware e PUA File sospetti Rootkit Descrizione L'adware prevede la presentazione all'utente di messaggi pubblicitari, quali messaggi popup, che possono incidere sulla produttività degli utenti e sull'efficienza del sistema. I PUA (Potentially Unwanted Applications) non sono malevoli, ma inadatti a reti aziendali e ambienti lavorativi. I file sospetti presentano una serie di caratteristiche comunemente, ma non esclusivamente, riscontrate in virus. Se membri del gruppo SophosAdministrator, la scansione alla ricerca di rootkit viene sempre eseguita ogni qual volta si esegua una scansione completa del computer. È possibile eseguire la scansione alla ricerca di rootkit come parte di una scansione personalizzata. 5. In Altre opzioni di scansione, impostare le opzioni come descritto di seguito. Opzione Scansione di tutti i file Scansione dei file di archivio Scansione della memoria di sistema Esegui scansione a priorità più bassa Descrizione Si consiglia di eseguire la scansione di tutti i file solo durante la scansione settimanale; la scansione di tutti i file limita le prestazioni del computer. Abilitare questa opzione per eseguire la scansione del contenuto dei file di archivio o compressi prima che venga scaricato o inviato per dal computer. Si consiglia di lasciare questa opzione disabilitata, dal momento che rallenta notevolmente la scansione. Si sarà comunque protetti da eventuali minacce presenti nei file di archivio o compressi, dal momento che tutti i componenti dei file di archivio o compressi che potrebbero contenere malware verranno bloccati dalla scansione in accesso: Quando si apre un file estratto dal file di archivio, tale file viene sottoposto a scansione. I file compressi tramite utilità di compressione dinamiche, quali PKLite, LZEXE e Diet, vengono sottoposti a scansione. Abilitare questa opzione per seguire automaticamente una scansione di background a cadenza oraria per rilevare malware nascosti nella memoria di sistema del computer (la memoria utilizzata dal sistema operativo). In Windows Vista e superiore, eseguire la scansione personalizzata con priorità più bassa in modo tale da avere un impatto minimo sulle applicazioni per gli utenti. 23

24 Sophos Endpoint Security and Control Configurazione della disinfezione per una scansione personalizzata Importante: se viene utilizzata una console di gestione per amministrare Sophos Endpoint Security and Control su questo computer, essa potrebbe ignorare le modifiche qui apportate. Per configurare la disinfezione per una scansione personalizzata: 1. Nella Home page, sotto Antivirus e HIPS, cliccare su Scansioni. 2. Nell'elenco Scansioni disponibili, selezionare la scansione che si desidera modificare e poi cliccare su Modifica. 3. Cliccare su Configura scansione. 4. Cliccare sulla scheda Disinfezione. 5. Per disinfettare automaticamente i file infetti, in Virus/spyware, selezionare la casella di spunta Disinfetta automaticamente i file contenenti virus o spyware. 6. Selezionare l'azione che Sophos Anti-Virus dovrà intraprendere contro gli oggetti infetti, nel caso la disinfezione automatica non sia stata abilitata o non riesca: Opzione Solo log Descrizione Sophos Anti-Virus si limita a registrare gli oggetti infetti nel log della scansione personalizzata. Consultare la sezione Visualizzazione del log per la scansione personalizzata a pagina 26. Si tratta di un'impostazione predefinita. Cancella Sposta in Utilizzate queste impostazioni soltanto su consiglio del supporto tecnico di Sophos. Utilizzare altrimenti il Quarantine Manager per disinfettare il computer dai virus e spyware rilevati da Sophos Anti-Virus. Consultare la sezione Gestione di virus e spyware in quarantena a pagina In File sospetti, selezionare l'azione che Sophos Anti-Virus intraprenderà al rilevare file contenenti codici utilizzati comunemente da malware: Opzione Solo log Descrizione Sophos Anti-Virus si limita a registrare gli oggetti infetti nel log della scansione. Si tratta di un'impostazione predefinita. Cancella Sposta in Utilizzate queste impostazioni soltanto su consiglio del supporto tecnico di Sophos. Utilizzare altrimenti il Quarantine Manager per disinfettare il computer dai virus e spyware rilevati da Sophos Anti-Virus. Consultare la sezione Gestione di file sospetti in quarantena a pagina 38 24

25 Guida in linea 8. Per rimuovere i componenti conosciuti di adware e Potentially Unwanted Applications (PUA) dai computer di tutti gli utenti, in Adware e PUA, selezionare la casella di spunta Disinfetta automaticamente adware e PUA. La rimozione non annulla le modifiche già apportate da adware o PUA. Per informazioni su come visionare nel sito web di Sophos gli effetti collaterali di adware o PUA, consultare la sezione Informazioni sulla disinfezione a pagina 42. Per informazioni su come disinfettare il computer da adware e PUA utilizzando il Quarantine Manager, consultare la sezione Gestione di adware e PUA in quarantena a pagina Pianificazione di una scansione personalizzata Se si appartiene al gruppo SophosAdministrator, è possibile pianificare una scansione personalizzata o visualizzare e modificare le scansioni pianificate create da altri utenti. 1. Nella Home page, sotto Antivirus e HIPS, cliccare su Scansioni. 2. Nell'elenco Scansioni disponibili, selezionare la scansione che si desidera modificare e poi cliccare su Modifica. 3. Cliccare su Pianifica scansione. 4. Nella finestra di dialogo Pianifica scansione, selezionare Abilita operazione pianificata. Selezionare il giorno o i giorni nei quali la scansione dovrà essere eseguita. Aggiungere l'orario (o gli orari) cliccando su Aggiungi. Se necessario, rimuovere o modificare un orario selezionandolo e cliccando rispettivamente su Rimuovi o Modifica. 5. Digitare nome utente e password. Assicurarsi che il campo relativo alla password non sia vuoto. La scansione pianificata viene eseguita con i diritti di accesso di quell'utente. Nota: Se la scansione rileva componenti di una minaccia nella memoria, e non è stata impostata la scansione per la disinfezione automatica di virus/spyware, la scansione si blocca. Ciò avviene poiché procedere con la scansione potrebbe consentire la diffusione di questa minaccia. Occorre effettuare la disinfezione della minaccia, prima di poter eseguire nuovamente la scansione Esecuzione di una scansione personalizzata Nota: non è possibile eseguire una scansione personalizzata pianificata manualmente. Le scansioni pianificate sono visualizzate nella lista Scansioni disponibili con un'icona a forma di orologio. 1. Nella Home page, sotto Antivirus e HIPS, cliccare su Scansioni. 25

26 Sophos Endpoint Security and Control 2. Nell'elenco Scansioni disponibili, selezionare la scansione che si desidera eseguire e poi cliccare su Avvia. Nella finestra di Sophos Endpoint Security and Control, viene visualizzata una finestra di dialogo che mostra l'avanzamento della scansione e il riquadro Riepilogo delle attività. Nota: Se la scansione rileva componenti di una minaccia nella memoria, e non è stata impostata la scansione per la disinfezione automatica di virus/spyware, la scansione si blocca. Ciò avviene poiché procedere con la scansione potrebbe consentire la diffusione di questa minaccia. Occorre effettuare la disinfezione della minaccia, prima di poter eseguire nuovamente la scansione. Se vengono individuate minacce o applicazioni controllate, cliccare su Dettagli e consultare Gestione degli oggetti in quarantena Rinomina di una scansione personalizzata 1. Nella Home page, sotto Antivirus e HIPS, cliccare su Scansioni. 2. Nell'elenco Scansioni disponibili, selezionare la scansione che si desidera modificare e poi cliccare su Modifica. 3. Nella casella Nome scansione, digitare il nuovo nome della scansione Visualizzazione del log per la scansione personalizzata 1. Nella Home page, sotto Antivirus e HIPS, cliccare su Scansioni. 2. Nell'elenco Scansioni disponibili, cliccare su Riepilogo per la scansione personalizzata. 3. Nella finestra di dialogo Riepilogo, cliccare sul link nella parte inferiore della finestra. Dalla pagina log, è possibile copiare il log negli appunti, oppure inviarlo per o stamparlo. Per trovare un testo specifico all'interno del log, cliccare su Trova e inserire il testo desiderato Visualizzazione del riepilogo di una scansione personalizzata 1. Nella Home page, sotto Antivirus e HIPS, cliccare su Scansioni. 2. Nell'elenco Scansioni disponibili, cliccare su Riepilogo per la scansione personalizzata Cancellazione di una scansione personalizzata 1. Nella Home page, sotto Antivirus e HIPS, cliccare su Scansioni. 2. Nell'elenco Scansioni disponibili, selezionare la scansione che si desidera cancellare e poi cliccare su Cancella Esecuzione della scansione completa del computer Per eseguire la scansione dell'intero sistema in uso nel computer, inclusi boot sector e memoria di sistema: 26

27 Guida in linea Nella pagina Home, sotto Antivirus e HIPS, cliccare su Scansione del computer. Viene visualizzata una finestra di dialogo che mostra l'avanzamento della scansione e nella finestra Sophos Endpoint Security and Control compare il Riepilogo delle attività. Nota: Se la scansione rileva componenti di una minaccia nella memoria, si interrompe. Ciò avviene poiché procedere con la scansione potrebbe consentire la diffusione di questa minaccia. Occorre effettuare la disinfezione della minaccia, prima di poter eseguire nuovamente la scansione. Se vengono individuate minacce o applicazioni controllate, cliccare su Dettagli e consultare Gestione degli oggetti in quarantena. 4.4 Sophos Behavior Monitoring Monitoraggio del comportamento In quanto parte della scansione in accesso, Sophos Behavior Monitoring protegge i computer con sistema operativo Windows 2000 e successivi dalle minacce non identificate o del giorno zero, oltre che da comportamento sospetto. Il rilevamento in fase di esecuzione può rilevare minacce che non possono essere identificate prima dell'esecuzione. Il monitoraggio del comportamento utilizza due metodi di rilevamento in fase di esecuzione per identificare eventuali minacce: Rilevamento di comportamento malevolo e sospetto Rilevamento di buffer overflow Rilevamento di comportamento malevolo e sospetto Il rilevamento di comportamento sospetto utilizza l'host Intrusion Prevention System (HIPS) di Sophos per analizzare dinamicamente il comportamento di tutti i programmi in esecuzione sul computer, oltre che per rilevare e bloccare qualsiasi attività dall'aspetto malevolo. Per comportamento sospetto si intendono ad esempio le modifiche al registro che potrebbero consentire l'esecuzione automatica di un virus al riavvio del computer. Il rilevamento di comportamento sospetto controlla tutti i processi di sistema alla ricerca di segni che indichino la presenza di malware attivo, quali scritture sospette nel registro o azioni di copiatura file. Può essere impostato in modo tale da avvertire l'amministratore e/o bloccare il processo. Il rilevamento di comportamento malevolo coincide con l'analisi dinamica di tutti i programmi in esecuzione nel computer e ha lo scopo di rilevare e bloccare attività apparentemente malevoli. Rilevamento di buffer overflow Il rilevamento di buffer overflow è fondamentale nel trattamento delle minacce del giorno zero. Analizza dinamicamente il comportamento dei programmi in esecuzione nel sistema per poter rilevare eventuali tentativi di sfruttare un processo in esecuzione tramite tecniche di buffer 27

28 Sophos Endpoint Security and Control overflow. Intercetta attacchi che puntano a vulnerabilità della sicurezza nei software e nelle applicazioni del sistema operativo Abilitazione del monitoraggio del comportamento Importante: se viene utilizzata una console di gestione per amministrare Sophos Endpoint Security and Control su questo computer, essa potrebbe ignorare le modifiche qui apportate. Se parte del gruppo SophosAdministrator è possibile abilitare il monitoraggio del comportamento. 1. Cliccare su Home > Antivirus e HIPS > Configura antivirus e HIPS > Configura > Monitoraggio del comportamento. 2. Nella finestra di dialogo Configura monitoraggio del comportamento, mettere la spunta nella casella Abilita monitoraggio del comportamento Blocco di comportamento malevolo Importante: se viene utilizzata una console di gestione per amministrare Sophos Endpoint Security and Control su questo computer, essa potrebbe ignorare le modifiche qui apportate. Il rilevamento di comportamento malevolo coincide con l'analisi dinamica di tutti i programmi in esecuzione nel computer e ha lo scopo di rilevare e bloccare attività apparentemente malevoli. Se membri del gruppo SophosAdministrator, è possibile modificare le impostazioni per il rilevamento e la segnalazione di comportamento malevolo: 1. Cliccare su Home > Antivirus e HIPS > Configura antivirus e HIPS > Configura > Monitoraggio del comportamento. 2. Nella finestra di dialogo Configura monitoraggio del comportamento, mettere la spunta nella casella Abilita monitoraggio del comportamento. 3. Per allertare l'amministratore e bloccare episodi di comportamento malevolo, selezionare la casella di spunta Rileva comportamento malevolo Prevenzione di comportamento sospetto Importante: se viene utilizzata una console di gestione per amministrare Sophos Endpoint Security and Control su questo computer, essa potrebbe ignorare le modifiche qui apportate. Il rilevamento di comportamento sospetto controlla tutti i processi di sistema alla ricerca di segni che indichino la presenza di malware attivo, quali scritture sospette nel registro o azioni di copiatura file. Può essere impostato in modo tale da avvertire l'amministratore e/o bloccare il processo. Se membri del gruppo SophosAdministrator, è possibile modificare le impostazioni per il rilevamento e la segnalazione di comportamento sospetto: 1. Cliccare su Home > Antivirus e HIPS > Configura antivirus e HIPS > Configura > Monitoraggio del comportamento. 2. Nella finestra di dialogo Configura monitoraggio del comportamento, mettere la spunta nella casella Abilita monitoraggio del comportamento. 28

29 Guida in linea 3. Selezionare la casella di spunta Rileva comportamento malevolo. 4. Per allertare l'amministratore e bloccare eventuali processi sospetti, selezionare la casella Rileva comportamento malevolo. 5. Per allertare l'amministratore, ma non bloccare eventuali processi sospetti, selezionare la casella di spunta Avvisa solo, non bloccare comportamento sospetto. Per avere protezione massima, si consiglia di abilitare il rilevamento di file sospetti. Per ulteriori informazioni, consultare i seguenti argomenti: Configurazione della scansione in accesso a pagina 8 Configurazione della scansione dal menu del tasto destro del mouse a pagina 18 Configurazione di una scansione personalizzata a pagina Prevenzione di buffer overflow Importante: se viene utilizzata una console di gestione per amministrare Sophos Endpoint Security and Control su questo computer, essa potrebbe ignorare le modifiche qui apportate. Il rilevamento di buffer overflow analizza dinamicamente il comportamento dei programmi in esecuzione nel sistema per poter rilevare eventuali tentativi di sfruttare un processo in esecuzione tramite tecniche di buffer overflow. Se membri del gruppo SophosAdministrator, è possibile modificare le impostazioni per il rilevamento e la segnalazione di buffer overflow: 1. Cliccare su Home > Antivirus e HIPS > Configura antivirus e HIPS > Configura > Monitoraggio del comportamento. 2. Nella finestra di dialogo Configura monitoraggio del comportamento, mettere la spunta nella casella Abilita monitoraggio del comportamento. 3. Per avvisare l'amministratore e bloccare il buffer overflow, selezionare la casella di spunta Rileva buffer overflow. 4. Per allertare l'amministratore, ma non bloccare episodi di buffer overflow, selezionare la casella di spunta Avvisa solo, non bloccare. 4.5 Sophos Live Protection Sophos Live Protection Sophos Live Protection decide se un file sospetto rappresenta una minaccia e, quando ciò accade, agisce immediatamente secondo quanto specificato nella configurazione disinfezione di Sophos Anti-Virus. Sophos Live Protection migliora il rilevamento di nuovo malware, senza il rischio di rilevamenti indesiderati. Questo avviene mediante ricerca istantanea in base alle più aggiornate versioni di malware conosciute. Quando viene identificato un nuovo malware, Sophos è in grado di inviare aggiornamenti entro pochi secondi. 29

30 Sophos Endpoint Security and Control Sophos Live Protection utilizza le seguenti opzioni: Abilita Live Protection Se la scansione antivirus su un computer ha identificato un file come sospetto, ma non riesce poi a determinare se sia pulito o malevolo, in base ai file di identità delle minacce (IDE) memorizzati nel computer, alcuni dati del file (come il checksum e altri attributi) vengono inviati a Sophos per un'ulteriore analisi. La verifica in-the-cloud esegue la ricerca istantanea di un file sospetto nel database di SophosLabs. Se il file viene identificato come pulito o malevolo, la decisione viene inviata al computer e lo stato del file viene automaticamente aggiornato. Invio automatico dei file campione a Sophos Se un file viene considerato sospetto, ma non può essere identificato con certezza come malevolo solo in base ai suoi dati, è possibile permettere la richiesta da parte di Sophos di un campione del file. Se tale opzione è abilitata, e Sophos non detiene ancora un campione del file, il file verrà inviato automaticamente. L'invio di file campione permette a Sophos di migliorare continuamente il rilevamento del malware senza il rischio di falsi positivi Attivazione e disattivazione delle opzioni di Sophos Live Protection Importante: se viene utilizzata una console di gestione per amministrare Sophos Endpoint Security and Control su questo computer, essa potrebbe ignorare le modifiche qui apportate. Se si appartiene al gruppo SophosAdministrator, è possibile attivare o disattivare Sophos Live Protection: 1. Cliccare su Home > Antivirus e HIPS > Configura antivirus e HIPS > Configura > Sophos Live Protection. 2. Nella finestra di dialogo Sophos Live Protection: Per attivare o disattivare l'invio a Sophos di dati dei file, selezionare o deselezionare la casella di spunta Abilita Live Protection. Per attivare o disattivare l'invio a Sophos di campioni di file, selezionare o deselezionare la casella di spunta Invio automatico dei file campione a Sophos. Questa opzione è disponibile solamente se Abilita Live Protection è già stata selezionata. Nota Quando si invia il campione di un file a Sophos per la scansione in linea, insieme al campione vengono sempre inviati i dati del file Visualizzazione del log di Sophos Live Protection I dati dei file inviati a Sophos per le scansioni in linea e gli aggiornamenti di stato dei file una volta completate le scansioni vengono registrati nel log della scansione del computer. 30

31 Guida in linea Se Sophos Live Protection è attiva, il log mostra: Il percorso di tutti i file, i cui dati sono stati inviati a Sophos. L'orario in cui tali dati sono stati inviati La causa dell'errore (se conosciuta) se l'invio dei dati non è riuscito. Lo stato attuale del file (per esempio, virus/spyware se il file è stato identificato come malevolo). Per visualizzare il log della scansione: Nella pagina Home, sotto Antivirus ed HIPS, cliccare su Visualizza log antivirus e HIPS. Dalla pagina log, è possibile copiare il log negli appunti, oppure inviarlo per o stamparlo. Per trovare un testo specifico all'interno del log, cliccare sutrova e inserire il testo desiderato. 4.6 Sophos Web Protection Sophos Web Protection Sophos Web Protection offre una protezione ancora più efficace contro le minacce web. Verifica gli URL dei siti web utilizzando il database online di Sophos alla ricerca di siti web infetti; nel caso di siti web noti per ospitare malware, l'accesso verrà bloccato. I seguenti browser supportano la protezione web: Internet Explorer Firefox Google Chrome Safari Opera Quando viene bloccato l'accesso a un sito web malevolo, viene registrato un evento nel log della scansione. Per informazioni sulla visualizzazione di eventi nel log della scansione, consultare la sezione Visualizzazione del log della scansione a pagina Sblocco dell'accesso a siti web malevoli Importante: se viene utilizzata una console di gestione per amministrare Sophos Endpoint Security and Control su questo computer, essa potrebbe ignorare le modifiche qui apportate. Per sbloccare l'accesso a siti web malevoli: 1. Cliccare su Home > Antivirus e HIPS > Configura antivirus e HIPS > Configura > Web protection. 31

32 Sophos Endpoint Security and Control 2. Nell'elenco Blocca l'accesso ai siti malevoli, cliccare su Disattivato. Per informazioni su come autorizzare un sito web classificato come malevolo, consultare la sezione Autorizzazione all'utilizzo di un sito web a pagina Dall'elenco Scarica scansione, cliccare su Disattivato, Attivato o Come in accesso. Le impostazioni Come in accesso conserveranno quelle della scansione in accesso. 4.7 Autorizzazione all'utilizzo di oggetti Autorizzazione all'utilizzo di adware e PUA Importante: se viene utilizzata una console di gestione per amministrare Sophos Endpoint Security and Control su questo computer, essa potrebbe ignorare le modifiche qui apportate. Se si desidera eseguire adware o un'applicazione che Sophos Anti-Virus ha classificato come potenzialmente indesiderata, è possibile autorizzarla. Per autorizzare l'utilizzo di adware e PUA: 1. Cliccare su Home > Antivirus e HIPS > Configura antivirus e HIPS > Configura > Autorizzazione. 2. Nella scheda Adware o PUA, nell'elenco Adware e PUA noti, selezionare adware o PUA. 3. Cliccare su Aggiungi. L'adware o PUA appare nell'elenco Adware o PUA autorizzati. Nota: è anche possibile autorizzare adware e PUA nel gestore quarantena. Per informazioni su come svolgere questa operazione, consultare la sezione Gestione di adware e PUA in quarantena a pagina Blocco di adware e PUA autorizzati Per evitare che adware e PUA attualmente autorizzati vengano eseguiti nel computer: 1. Cliccare su Home > Antivirus e HIPS > Configura antivirus e HIPS > Configura > Autorizzazione. 2. Nella scheda Adware o PUA, nell'elenco Adware o PUA autorizzati, selezionare adware o PUA che si desidera bloccare. 3. Cliccare su Rimuovi Autorizzazione all'uso di oggetti sospetti Importante: se viene utilizzata una console di gestione per amministrare Sophos Endpoint Security and Control su questo computer, essa potrebbe ignorare le modifiche qui apportate. Se si desidera autorizzare un oggetto che Sophos Anti-Virus ha classificato come sospetto, è possibile autorizzarlo nel modo seguente. 32

33 Guida in linea 1. Cliccare su Home > Antivirus e HIPS > Configura antivirus e HIPS > Configura > Autorizzazione. 2. Cliccare sulla scheda relativa al tipo di oggetto rilevato (per es. Buffer overflow). 3. Cliccare sull'elenco Noto e selezionare l'oggetto sospetto. 4. Cliccare su Aggiungi. L'oggetto sospetto compare nell'elenco Autorizzato. Nota: è anche possibile autorizzare oggetti sospetti nel Gestore quarantena. Per informazioni su come fare ciò, consultare le seguenti sezioni: Gestione di file sospetti in quarantena a pagina 38 Gestione di comportamento sospetto in quarantena a pagina Preautorizzazione di oggetti sospetti Se si desidera autorizzare un oggetto che Sophos Endpoint Security and Control non ha ancora classificato come sospetto, è possibile preautorizzarlo. Per preautorizzare un oggetto sospetto: 1. Cliccare su Home > Antivirus e HIPS > Configura antivirus e HIPS > Configura > Autorizzazione. 2. Cliccare sulla scheda relativa al tipo di oggetto rilevato (per es. Buffer overflow). 3. Cliccare su Nuova voce. 4. Trovare l'oggetto sospetto e cliccarvi due volte. L'oggetto sospetto compare nell'elenco Autorizzato Autorizzazione all'utilizzo di un sito web Importante: se viene utilizzata una console di gestione per amministrare Sophos Endpoint Security and Control su questo computer, essa potrebbe ignorare le modifiche qui apportate. Se si desidera sbloccare un sito classificato come malevolo da Sophos, è possibile aggiungerlo all'elenco dei siti autorizzati. Gli URL di un sito web autorizzato non vengono verificati dal filtro web online di Sophos. Attenzione: Autorizzare un sito web classificato come malevolo potrebbe esporre a minacce; assicurarsi che l'accesso al sito sia sicuro prima di autorizzarlo. Per autorizzare l'utilizzo di un sito web: 1. Cliccare su Home > Antivirus e HIPS > Configura antivirus e HIPS > Configura > Autorizzazione. 2. Cliccare sulla scheda Siti web. 3. Cliccare su Aggiungi. 4. Inserire il nome di dominio o l'indirizzo IP. Il sito web compare nell'elenco dei Siti web autorizzati. 33

34 Sophos Endpoint Security and Control 4.8 Gestione degli oggetti in quarantena Gestore quarantena Il Gestore quarantena consente di gestire gli oggetti individuati mediante la scansione e non eliminati automaticamente durante la stessa. Ciascun oggetto viene conservato qui per una delle ragioni seguenti. Non è stata scelta alcuna opzione di disinfezione (disinfezione, cancellazione, spostamento) per il tipo di scansione durante la quale è stato individuato l'oggetto. È stata scelta un'opzione di disinfezione per il tipo di scansione durante la quale è stato individuato l'oggetto, ma l'opzione non ha funzionato correttamente. L'oggetto ha un'infezione multipla e contiene ancora altre minacce. La minaccia è stata rilevata solo parzialmente. Per rilevarla in maniera completa, è necessaria una scansione completa del computer. Per maggiori informazioni su come effettuare tale operazione, consultare Esecuzione della scansione completa del computer a pagina 26. L'oggetto manifesta un comportamento sospetto. L'oggetto è un'applicazione controllata. Nota: adware, PUA e infezioni multicomponente rilevate durante la scansione in accesso sono sempre elencate nel Gestore quarantena. La disinfezione automatica di adware, PUA e infezioni multicomponente non è disponibile per la scansione in accesso. L'opzione di disinfezione potrebbe non aver funzionato correttamente a causa di diritti di accesso insufficienti. Se si dispone di diritti maggiori, è possibile utilizzare Gestore quarantena per gestire l'oggetto o gli oggetti. Le minacce rilevate durante la scansione delle pagine web non sono elencate nel Gestore quarantena perché non vengono scaricate nel computer. Pertanto, in tali casi non è necessaria alcuna azione Layout del Gestore quarantena Il Gestore quarantena elenca tutti gli oggetti rilevati durante la scansione rendendo possibile i relativi interventi da parte dell'utente. Gli elementi della finestra Gestore quarantena vengono illustrati qui di seguito. 34

35 Guida in linea Cliccare sull'elenco Mostra per filtrare i tipi di oggetti visualizzati. L'identità dell'oggetto, completa di link alla sua analisi pubblicata sul sito web di Sophos. Nome file e percorso dell'oggetto. Se l'oggetto risulta associato a un rootkit, viene visualizzato come Nascosto. Se accanto al nome del file appare il collegamento dettagli, significa che l'oggetto presenta un'infezione multicomponente. Cliccare sul link per visualizzare la lista degli altri componenti che formano l'infezione. Se alcuni componenti risultano associati a un rootkit, nella finestra di dialogo vengono indicati come nascosti. L'azione da intraprendere su un determinato oggetto. Se l'oggetto non è nascosto, è possibile intraprendere tre tipi di azione: Disinfetta, Cancella e Sposta. Se si clicca su una delle azioni disponibili, tale azione verrà intrapresa nonappena ricevuta conferma. I file nascosti possono essere solo disinfettati. Elenco degli oggetti rilevati. Per ordinare gli oggetti è possibile clicacre sui titoli delle colonne. Cliccare su Seleziona tutto per intraprendere la medesima azione su tutti gli oggetti. Per deselezionare un oggetto, deselezionare la relativa casella di spunta nella colonna Tipo. Se in un primo temo sono stati selezionati tutti gli oggetti, ma successivamente si desidera deselezionarli, cliccare su Deseleziona tutto. Per selezionare un oggetto, cliccare la relativa casella di spunta nella colonna Tipo. Cliccare su Cancella dalla lista per eliminare gli oggetti selezionati dall'elenco, senza intraprendere alcuna azione su di essi. Comunque gli oggetti non vengono cancellati dal disco. 35